ISMS信息安全管理体系文件(全面).docxVIP

第PAGE31页共NUMPAGES63页

ISMS-01-01

ISMS信息安全管理体系文件

样式编号

ISMS-A-2019

编制

高珊珊

审核

密级

内部

版本

V0.5

编写日期

2019年1月15日

目录

信息安全方针03

1.1总体方针03

1.2信息安全管理机制03

1.2.1目标量化04

1.3信息安全小组03

1.4识别法律、法规、合同中的安全04

1.5风险评估04

1.6报告安全事件04

1.7监督检查04

1.8信息安全的奖惩04

1.9手册的管理04

1.9.1信息安全管理手册的批准04

1.9.2信息安全管理手册的发放、更改、作废与销毁04

1.9.3信息安全管理手册的换版05

1.9.4信息安全管理手册的控制05

信息安全管理手册05

2.1目的和范围05

2.1.1总则05

2.1.2范围05

2.2术语和定义06

2.3引用文件06

2.3.1组织环境，理解组织及其环境06

2.3.2理解相关方的需求和期望06

2.3.3确定信息安全管理体系的范围06

2.4信息安全管理体系07

2.4.1总要求07

2.4.2建立和管理ISMS09

2.4.3资源管理20

2.5ISMS内部审核22

2.5.1总则22

2.5.2内审策划22

2.5.3内审实施22

2.6ISMS管理评审22

2.6.1总则22

2.6.2评审输入23

2.6.3评审输出23

2.7ISMS改进23

2.7.1持续改进23

2.7.2纠正措施24

信息安全规范24

3.1总则24

3.2环境管理24

3.3资产管理26

3.4介质管理26

3.5设备管理27

3.5.1总则27

3.5.2系统主机维护管理办法27

3.5.3涉密计算机安全管理办法29

3.6系统安全管理29

3.7恶意代码防范管理30

3.8变更管理30

3.9安全事件处置30

3.10监控管理和安全管理中心31

3.11数据安全管理31

3.12网络安全管理32

3.12.1网络系统运行维护管理办法32

3.12.2网络病毒入侵防范管理办法32

3.12.3网络信息安全策略管理办法33

3.12.4网络信息系统安全检查管理办法33

3.13操作管理33

3.14安全审计管理办法33

3.15信息系统应急预案34

3.16附表34/55

一、信息安全方针

1.1总体方针

满足用户要求，实施风险管理，确保信息安全，实现持续改进。

1.2信息安全管理机制和目标

公司为用户提供智能登陆及加密会员信息管理的服务，信息资产的安全性对公司及用户非常重要。为了保证各种信息资产的必威体育官网网址性、完整性、可用性，给客户提供更加安心的服务，公司依据ISO/IEC27001:2013标准，建立信息安全管理体系，全面保护公司及用户的信息安全。

1.2.1目标量化：

必威体育官网网址性目标：确保本公司业务系统在存储、处理和传输过程中的数据不向非授权用户暴露。

顾客必威体育官网网址性抱怨/投诉的次数不xeg超过1起/年。

受控信息泄露的事态发生不超过3起/年。

秘密信息泄露的事态不得发生。

完整性目标：确保本公司业务系统在存储、处理和传输过程中不会以非授权方式更改数据；

非授权方式更改数据导致业务系统出现故障而影响正常工作的事态不超过2起/年。

可用性目标：确保本公司业务系统能有效率地运转并使所有授权用户得到所需信息服务。

得到授权的用户执行数据操作，出现服务拒绝或者数据拒绝的次数不得高于10起/年；

得到授权的用户超越其自身权限，越权使用系统、使用数据的次数不超过10起/年。

1.3信息安全小组

负责信息安全管理体系的建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准，督促各信息安全执行单位对于信息安全政策、措施的实施；

负责定期召开信息安全管理工作会议，定期总结运行情况以及安全事件记录，并向信息安全管理委员会汇报；

对员工进行信息安全意识教育和安全技能培训；

协助人力资源部对外部组织有关的信息安全工作，负责建立各部门定期沟通机制；

负责对ISMS体系进行审核，以验证体系的健全性和有效性，并对发现的问题提出内部审核建议；

负责对ISMS体系的具体实施、各部门的信息安全运行状况进行定期审计或专项审计；

负责汇报审计结果，并督促审计整改工作的进行，落实纠正措施（包括内部审核整改意见）和预防措施；

负责制定违反安全政策行为的标准，并对违反安全政策的人员和事件进行确认；

负责管理体系文件的控制；

负责保存内部审核